Pon a prueba tu enrutador – routersecurity.org cómo funciona la minería de Bitcoin

Configuración de nivel: mientras está conectado a una VPN, todas las pruebas en esta página prueban el servidor VPN, no su enrutador. Del mismo modo, con Tor terminas probando tu nodo de salida Tor en lugar de tu enrutador. Para probar su enrutador, debe estar conectado a un módem tonto. Sin embargo, si ha conectado un enrutador a un dispositivo de puerta de enlace (módem de combinación, enrutador y tal vez incluso adaptador de teléfono) de su ISP, es posible que esté probando el firewall en el dispositivo de puerta de enlace en lugar de su enrutador. A prueba su enrutador en este caso, el dispositivo de puerta de enlace debe ponerse en modo Bridge, lo que debería desactivar su firewall. Pruebas de Servidor DNS arriba

Computación Defensiva exige que sepa cuáles deberían ser sus servidores DNS. Hay tres razones para estar al tanto de sus servidores DNS. En primer lugar, es que cambiar los servidores DNS en un enrutador es un ataque común y sin los sitios web enumerados a continuación, podría pasar mucho tiempo antes de que se detecte este cambio malicioso. Entonces, también, si tiene un conjunto preferido de servidores DNS (quizás OpenDNS o Quad9), el enrutador al que está conectado puede ignorar esta preferencia y obligarlo a usar sus servidores DNS. Bloggeé sobre esto en marzo de 2018 (algunos enrutadores pueden forzar sus servidores DNS en todos los dispositivos). Cuando se conecta a una red Wi-Fi pública, siempre debe verificar si el enrutador que ejecuta la red ha impuesto sus servidores DNS en su computadora. Finalmente, llegamos a las VPN. Si funciona bien, el software cliente VPN en su computadora debe cambiar sus servidores DNS a los que ejecuta el proveedor VPN. Pero, a veces esto no sucede. Aconsejaría verificar en sus servidores DNS antes y después de conectarme a una VPN para asegurarme de que hayan cambiado.

• F-Secure Router Checker realmente no verifica los enrutadores, simplemente informa sobre un servidor DNS. Todas las otras comprobaciones del servidor DNS informan en múltiples servidores DNS detectados, F-Secure solo informa en uno. La compañía dice que su objetivo es asegurar que su enrutador esté usando un "servidor DNS autorizado" pero no existe tal cosa y no la definen. El servicio desapareció desde aproximadamente febrero de 2016 hasta agosto de 2016), pero a mediados de agosto de 2016, volvió a estar en línea.

Los usuarios de Windows tienen otra excelente opción, el programa de búsqueda de DNS de Nir Sofer. El programa es gratuito, portátil y de una fuente confiable. Simplemente rastrea las solicitudes y respuestas de DNS. Antes de conectarse a una VPN, dígale que examine su conexión Wi-Fi o Ethernet para confirmar que el programa está funcionando. Luego, conéctese a la VPN y no verá más actividad de DNS. Como una prueba más de que la VPN está manejando cosas, dígale al programa que examine su conexión VPN (Opciones -> Opciones de captura) y debería ver todas sus solicitudes de DNS.

En un plano totalmente diferente, es el Router Crash Test de Steve Gibson. Mientras trabajaba en una prueba de spoofability de DNS, Gibson descubrió accidentalmente que había bloqueado algunos enrutadores simplemente enviándoles solicitudes legítimas de DNS. Esto es un poco anticuado (Gibson no tiene fechas de creación en las páginas de su sitio), pero solo lleva unos segundos verificar que su enrutador no sea presa de este ataque. En la parte inferior de la página busca un gris "Iniciar prueba de bloqueo del enrutador" botón. Comprobadores de firewall arriba

El sigilo es el mejor estado. Cerrado está bien. Abierto es malas noticias. Comience con el "Puertos comunes" prueba que prueba puertos: 0, 21, 22, 23, 25, 79, 80, 110, 113, 119, 135, 139, 143, 389, 443, 445 1002, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1720 y 5000. Luego, avance al "Todos los puertos de servicio" que prueba todos los puertos de cero a 1055 y tarda unos 70 segundos en ejecutarse. Si todo está bien, dirá "Pasado" en verde y el estado de cada puerto será "sigilo". La calificación aprobatoria también significa que el enrutador no responde a los comandos Ping en el puerto WAN. Un informe perfecto se ve así.

• Port Scanner en mxtoolbox.com escanea 25 puertos TCP (sin UDP): 21 ftp, 22 ssh, 23 telnet, 25 smtp, 53 dns, 80 http, 110 pop3, 111 portmapper, rpcbind, 135 servicios de Microsoft RPC, 139 netbios , 143 imap, 389 ldap, 443 https, 445 SMB sobre IP, 587 msa-outlook, 1025 IIS, NFS o escucha RFS remote_file_sharing, 1352 notas de loto, 1433 sql server, 1723 PPTP, 3306 my sql, 3389 Microsoft escritorio remoto ( RDP), 5060 SIP, 5900 VNC, servidor 6001 X Window y 8080 webcache. El estado del puerto se informa usando las convenciones de nomenclatura de Nmap (se rechaza lo mismo que cerrado y filtrado es lo mismo que sigiloso).

Tenga en cuenta que, mientras está conectado a una VPN, estas pruebas prueban el servidor VPN, no su enrutador. Lo mismo para Tor. Un "abierto" el puerto responde a solicitudes entrantes no solicitadas. UN "cerrado" puerto (a.k.a. "rechazado" en Nmap lingo) es accesible, pero no hay ninguna aplicación que lo escuche. Un estado de "sigilo" (a.k.a. "filtrado" a Nmap) significa que los datos enviados al puerto no generan ninguna respuesta. Este es el estado más seguro. Esta lista es extremadamente incompleta.

• En julio de 2018, una falla de diseño con FTP en enrutadores Netgear provocó la filtración de documentos militares. No se necesitó piratería, los propietarios de muchos enrutadores Netgear no cambian las contraseñas predeterminadas. Los artículos de Netgear KB sobre la configuración de FTP son vergonzosos por ignorar los problemas de seguridad. La cobertura de la piratería está en Enrutador Página de noticias en julio de 2018. Pruebe el puerto TCP 21.

• Diciembre de 2017: si tiene un enrutador / puerta de enlace Huawei, pruebe el puerto 37215. En noviembre de 2015 hubo un problema con él. Además, en marzo de 2017, un artículo en RedPiranha dijo "Se ha detectado que este puerto es el aspecto más vulnerable del enrutador Huawei, ya que no valida ninguno de los paquetes de datos que se le envían." Luego, en diciembre de 2017, 360 netlab advirtió acerca de la botnet Satori, que se extendió por los puertos 37215 y 52869. Fortinet también escribió sobre esto.

• Según los atacantes ahora están abusando de los servidores LDAP expuestos para amplificar los ataques DDoS (por Lucian Constantin, 26 de octubre de 2016). LDAP sin conexión (CLDAP), una variante de LDAP (Protocolo ligero de acceso a directorios) que usa UDP, está siendo objeto de abuso en ataques DDoS. LDAP se usa en redes corporativas y "su uso directo en Internet se considera arriesgado y está muy desaconsejado." Sin embargo, SHODAN informa que más de 140,000 sistemas lo usan. Puerto de prueba 389 TCP y puerto 389 UDP.

• Si no está utilizando SNMP, y la mayoría de las personas no lo están, entonces los puertos UDP 161 y 162 deben estar cerrados. Un dispositivo que ejecuta SNMP puede ser abusado en ataques de amplificación SNMP, un tipo de ataque DDoS. La Shadowserver Foundation escanea Internet para dispositivos que responden a los comandos de SNMP en el puerto UDP 161. A mediados de noviembre de 2016, encontraron 3.490.417 de esos dispositivos.

"telnet ipaddress portnumber". Por ejemplo: "telnet 192.168.1.1 80". Es necesario que haya un espacio en ambos lados de la dirección IP. Si el puerto está cerrado, Windows se quejará de que "no se pudo abrir la conexión al host en el puerto 80: error de conexión". Si el puerto está abierto, las respuestas varían, es posible que solo vea una pantalla en blanco. También puede hacer telnet a una computadora por su nombre, como

ID Serve: ID Serve es una pequeña y portátil herramienta de identificación de servidores de Internet para Windows, creada por Steve Gibson. Fue escrito en 2003 y no ha sido actualizado desde entonces. La pantalla inicial explica su propósito, la pestaña de Server Query es donde hace su trabajo. Puede consultar una computadora por nombre (www.amazon.com) o por dirección IP. Se establece de forma predeterminada en el puerto 80, pero puede forzar un puerto diferente agregando dos puntos y el número de puerto después del nombre de la computadora o dirección IP (sin espacios). Si los datos provienen de la consulta, ID Serve lo muestra todo. Esta información puede identificar el software del servidor. Si los datos no vuelven, el mensaje, en mi experiencia, será "El puerto está cerrado, por lo que se rechazó nuestro intento de conexión" o "No se recibió respuesta de la máquina y el puerto en esa IP. La máquina puede estar fuera de línea o el puerto de conexión puede estar oculto". ID Serve está limitado a TCP (sin UDP) y no es compatible con HTTPS.

El protocolo de administración de red doméstica es un protocolo de administración de dispositivos de red que data de 2007. Hay cuatro problemas con HNAP. Una, es que tiene una larga historia de implementaciones con errores. También puede informar a los malos detalles técnicos de un enrutador para que les sea más fácil encontrar una vulnerabilidad adecuada para atacar. El hecho de que un enrutador sea compatible con HNAP puede no ser visible en su interfaz administrativa. Lo peor de todo, HNAP a menudo no se puede desactivar. Cuatro golpes, estás fuera.

UPnP en el lado WAN / Internet de un enrutador es un problema totalmente diferente. UPnP nunca estuvo destinado a estar expuesto en Internet. El probador en línea a continuación asegura que tu enrutador no responde a las solicitudes UPnP que se le envían por Internet. Para obtener más información sobre por qué UPnP del lado de Internet de un enrutador es un problema, consulte mi blog de enero de 2013. Verifique su enrutador ahora, antes que Lex Luthor.

UPnP es relativamente difícil de probar, ya que hay dos componentes para el protocolo. El descubrimiento de dispositivos habilitados para UPnP se realiza con el protocolo simple de detección de servicios (SSDP) que escucha en el puerto UDP 1900. La comunicación real entre dispositivos se realiza a través de HTTP en puertos variables. SSDP le dice a los clientes qué puerto usar para la comunicación HTTP. Según Rapid7, el número de puerto TCP varía según el proveedor y a menudo se elige al azar. Ugh. Su informe señala que algunos enrutadores Broadcom, D-Link y TP-Link usan el puerto TCP 5431, algunos dispositivos usan el puerto 80 y otros usan 2869.

banner